山东某工程技术公司IT服务管理体系二阶段审核案例

案例背景

认证领域：IT信息服务管理体系。

受审核组织：山东某工程技术公司

认证范围：向外部客户提供计算机应用系统软件运维服务（本证书体系覆盖范围内未包含分支机构）

认证标准：ISO/IEC 20000-1:2011《信息安全管理体系 要求》

审核类别：二阶段审核。

认证审核情况

　　该企业的经营范围：软件技术开发、技术咨询、技术服务，互联网信息服务（依据通信管理部门核发许可证开展经营活动），计算机系统数据处理，经营性互联网文化服务，云计算，集成电路有关的设计、开发、技术服务，[安全评价；环境影响评价]（凭安监部门审批的资质证书开展经营活动），安全技术、环保技术、节能技术的技术研发、推广、应用、服务，化工、机械工程设计咨询，能源评估技术咨询。

　　公司规模不大，信息服务基础比较薄弱，审核组需要通过审核，在企业管理的各个方面寻找信息安全管理的薄弱环节，从而达到本次认证审核的目的，本次审核为二阶段审核。

　　审核组发现设计输出文档均保存在设计人员的电脑中，而公司成立初期，设计人员少，经常携带笔记本电脑外出，可能造成设计输出文件的丢失和泄露，公司虽然配备了一台备份服务器用于存储设计文件，但由于管理水平薄弱，相关人员未系统归档设计文件、及严格执行定期备份制度。

审核综述

　　通过本次审核，查找管理环节管理漏洞，为组织信息安全管理状态提供了有效的证据，达到本次审核的目的，得到受审核组织的好评。

　　本次活动由于事先策划准备充分，考虑周全和受评价组织的积极配合，因此非常顺利地完成了整个现场评价过程。